«Многие компании годами не подозревают, что их сети уже скомпрометированы. А когда появляются первые звоночки — паникуют и действуют хаотично, уничтожая улики. Стандартные инструкции про ‘изолировать систему’ часто не работают, потому что угроза давно вышла за пределы одного компьютера. Нужен другой подход: не мгновенная война, а методичное расследование, где ваша сеть — место преступления».
Почему типичная реакция «выдернуть шнур» — самая опасная
Первое желание при подозрении на взлом — отключить сервер или заблокировать доступ. Это инстинктивное действие часто сравнивают с выдергиванием шнура из розетки при запахе гари. Но в случае киберинцидента вы не тушите пожар, а уничтожаете систему тушения и все следы поджигателя. Атакующий, обнаружив, что его активность замечена, моментально активирует деструктивные механизмы или углубляется в тень.
Главная ошибка — немедленная «очистка»: переустановка системы, удаление подозрительных файлов, сброс паролей. Этими действиями вы стираете артефакты, critical для расследования: живые процессы в памяти, открытые сетевые соединения, временные метки файлов, записи в логах, оставленные после удаления. Без них невозможно установить вектор атаки, масштаб компрометации и конечную цель злоумышленника. Вы останетесь с чистым, но уязвимым сервером, в то время как угроза продолжит существовать в других сегментах сети.
Этап 0: Тихий сбор улик до любого движения
Прежде чем что-либо менять, зафиксируйте текущее состояние. Это фаза «заморозки места преступления». Её цель — собрать максимум информации, не предупреждая злоумышленника.
Что именно фиксировать немедленно
- Волатильные данные (RAM): Дамп оперативной памяти. В ней находятся ключи дешифрования, пароли в открытом виде, активные процессы и библиотеки зловредов, которые исчезнут после перезагрузки. Используйте инструменты вроде AVML или Lime для Linux, Dumplt для Windows.
- Снимки дисков: Создайте полный образ (образ) системных дисков, желательно на физическом уровне. Это сохранит удалённые, но ещё не перезаписанные файлы и метаданные файловой системы.
- Сетевые соединения: Зафиксируйте вывод
netstat -an,ss -tunap, установленные соединения и listening-порты. Особое внимание — исходящие подключения на нестандартные порты или в нехарактерные географические регионы. - Автозагрузка и планировщики заданий: Выгрузите конфигурацию cron, systemd, тасков в Планировщике задач Windows, автозагрузки в реестре. Атакующие часто прописывают там своё persistence.
- История команд и временные файлы: Сохраните историю Bash/PowerShell, файлы в /tmp, каталогах временных файлов пользователей.
Все собранные данные должны копироваться на внешний носитель или выделенный, изолированный сервер для анализа. Никогда не оставляйте их на скомпрометированной системе.
Этап 1: Сдерживание без оповещения противника
Ваша задача — ограничить движение угрозы, но не блокировать её полностью. Резкое отключение может сработать как сигнал тревоги. Вместо этого:
- Сегментируйте сеть на уровне правил межсетевого экрана: Ограничьте исходящий трафик с подозрительных хостов только до критически важных внутренних сервисов (например, до сервера обновлений, внутреннего DNS). Блокируйте выход в интернет, но оставьте возможность подключения к выделенному серверу для сбора логов.
- Измените привилегии учётных записей: Для пользователей, чьи учётки могли быть скомпрометированы, временно понизьте права или отключите интерактивный вход, сохранив возможность аудита их активности. Не меняйте пароли глобально, это разорвёт сессии и заставит злоумышленника активировать запасные методы доступа.
- Настройте зеркалирование трафика (SPAN-порты): На коммутаторах настройте зеркалирование всего трафика с портов, к которым подключен инцидентный хост, на отдельный анализатор (например, сервер с установленным Security Onion). Это позволит пассивно наблюдать за дальнейшими действиями.
Сдерживание, это создание контролируемой среды, «песочницы», в которой угроза всё ещё видна, но не может нанести новый ущерб или уйти глубже.
Этап 2: Определение масштаба и вектора атаки (Анализ артефактов)
Собранные данные — ваша карта инцидента. Анализ должен ответить на три ключевых вопроса: «Как вошли?», «Куда пошли?» и «Что хотели?».
Анализ точек входа
Ищите аномалии в логах аутентификации за несколько недель или месяцев до первых подозрений. Не ограничивайтесь неудачными попытками — успешный вход с необычного IP или в нерабочее время гораздо показательнее. Проверьте:
- Веб-серверы: access-логи на предмет запросов к уязвимым путям (например,
/wp-admin,/api,/console), загрузку нестандартных файлов. - Почтовые серверы: лог авторизации по протоколам IMAP/POP3/SMTP.
- Сервисы удалённого доступа (RDP, SSH, VPN): подозрительные успешные подключения, особенно с использованием служебных или rarely used учётных записей.
Анализ persistence и lateral movement
Изучите дампы автозагрузки и планировщиков. Зловредное ПО часто маскируется под системные службы или легитимное ПО. Сравните список процессов и загруженных библиотек (например, через lsof) с эталонными хэшами из доверенных источников. Ищите несоответствия в пути к исполняемому файлу или его цифровой подписи.
Сетевые артефакты (дампы трафика, логи фаервола) покажут, были ли попытки горизонтального перемещения: сканирование внутренних портов, аномальные SMB-, RPC- или RDP-сессии между внутренними хостами, DNS-туннелирование.
Этап 3: Сообщение регулятору и работа с ФСТЭК
Согласно 152-ФЗ, оператор персональных данных обязан уведомить Роскомнадзор о факте нарушения безопасности данных. Однако, важно различать подозрение и установленный факт. Преждевременное уведомление без доказательной базы может создать ненужный ажиотаж и проблемы.
Порядок действий:
- Сформируйте предварительный отчёт: На основе собранных на этапах 0-2 данных подготовьте внутренний документ с описанием индикаторов компрометации (IoC), потенциально затронутых систем и категорий персональных данных.
- Обратитесь к приказу ФСТЭК России № 239: В нём описаны меры защиты информации. Проанализируйте, какие из мер были нарушены, что позволило произойти инциденту. Это будет основой для объяснительной записки.
- Уведомление регулятора: Отправляйте официальное уведомление в Роскомнадзор только после того, как факт утечки или нарушения целостности ПДн подтверждён. В уведомлении укажите характер нарушения, категории и количество затронутых субъектов ПДн, принятые меры. Не указывайте технические детали атаки, которые могут помочь другим злоумышленникам.
- Взаимодействие с ФСТЭК: Если инцидент затронул государственные информационные системы или системы критической информационной инфраструктуры (КИИ), уведомление направляется в ФСТЭК. Будьте готовы предоставить детальный план ликвидации последствий и устранения уязвимостей.
Ключевой принцип: общение с регулятором должно быть фактологическим, без излишней эмоциональности. Предоставляйте информацию по запросу, не скрывайте, но и не затопляйте деталями, не имеющими отношения к защите ПДн.
Этап 4: Ликвидация и восстановление под контролем
Только после полного анализа и сдерживания можно переходить к активному вытеснению угрозы. Это делается точечно и синхронно на всех заражённых системах, чтобы предотвратить «отскок».
- Блокировка на уровне сети и хоста: На основе собранных IoC (хэши файлов, вредоносные IP-адреса, домены, сигнатуры) настройте блокировки на межсетевых экранах, IPS/IDS, антивирусных решениях. Удалите все инструменты и backdoor’ы, обнаруженные при анализе.
- Полная переустановка систем: Наиболее надёжный метод. Не очистка, а развёртывание систем с чистых образов с последующим накатыванием конфигураций из доверенных backup’ов (проверенных на отсутствие вредоносного кода).
- Смена учётных данных: Массовая смена паролей, ключей SSH, сертификатов. Особое внимание — сервисным учётным записям и аккаунтам с привилегированным доступом.
- Восстановление данных: Данные восстанавливаются из backup’ов, созданных до момента предполагаемой компрометации. Перед восстановлением backup должен быть просканирован на наличие известных угроз.
После «зачистки» система переводится в режим усиленного мониторинга для обнаружения возможных остаточных явлений или повторного проникновения.
Этап 5: Пост-инцидентный анализ и предотвращение
Ликвидация инцидента — не конец работы. Главная цель — извлечь уроки, чтобы не допустить повторения.
- Составление итогового отчёта (Post-Incident Report): Документ должен включать хронологию, использованные векторы атаки, ущерб, действия по реагированию, коренные причины (например, отсутствие двухфакторной аутентификации на внешнем RDP, необновлённое ПО).
- Пересмотр политик безопасности: На основе коренных причин внесите изменения в правила доступа, конфигурации систем, процедуры обновления. Например, запретите RDP напрямую в интернет, внедрите сегментацию сети по принципу нулевого доверия (Zero Trust).
- Обновление средств мониторинга: Добавьте обнаруженные индикаторы компрометации (IoC) в SIEM-систему, настройте алерты на подозрительную активность, которая была выявлена в ходе инцидента.
- Проведение учебных тревог: Регулярно моделируйте похожие сценарии атак, чтобы команда была готова действовать методично, без паники.
Рассматривайте каждый инцидент не как провал, а как самый дорогой урок по безопасности вашей инфраструктуры. Потраченные на расследование ресурсы окупятся повышением устойчивости к будущим атакам.